Тема от linu777

  • linu777
  • Посетитель
  • Неактивен

Рутокен ЭЦП + mac os x 10.11

Добрый день

Установил модуль поддержки связки ключей, но токен в Keychain не видно. Перезагружался и переустанавливал модуль.
Токен нормально видится в системе:

opensc-tool -l
# Detected readers (pcsc)
Nr.  Card  Features  Name
0    Yes             Aktiv Rutoken ECP
pkcs11-tool --module /Library/Aktiv\ Co/Rutoken\ ECP/lib/librtpkcs11ecp.dylib -L
Available slots:
Slot 0 (0x0): Aktiv Rutoken ECP
  token label        : xxx
  token manufacturer : Aktiv Co.
  token model        : Rutoken ECP
  token flags        : rng, login required, PIN initialized, token initialized
  hardware version   : 20.4
  firmware version   : 18.11
  serial num         : xxxxxxxxx

pkcs11-tool --module /Library/Aktiv\ Co/Rutoken\ ECP/lib/librtpkcs11ecp.dylib -O
показывает сертификаты

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Здравствуйте, linu777.

Уточните, пожалуйста, полную версию используемой операционной системы.

Ответ от linu777

  • linu777
  • Посетитель
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Os X 10.11.3 (15D21)

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Приношу извинения за долгое ожидание.
Уточните, пожалуйста, на используемом вами идентификаторе Рутокен записано какое-либо содержимое? Если да, то с помощью какого криптопровайдера выписывались ключи?

Ответ от ea

  • ea
  • Посетитель
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

такая же проблема. Обновился до последней версии.

рутокен виден в консоли, но ни в какую не появляется в связке ключей, соответсвенно не подхватывается CiscoAnyConnect.

Причём на других трёх маках всё взлетело( А у директора, никак.

Криптопровайдер у пользовательского серта MS Enhanced

У рутовых другой..
Токен - рутокен ЭЦП.

Ответ от Vermin

  • Vermin
  • Посетитель
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Здравствуйте.
На всякий случай, попробуйте извлечь токен, установить этот пакет модуля поддержки:
https://download.rutoken.ru/Rutoken/PKC … taller.pkg
Перезагрузить мак и подключить токен. Это может помочь.

Ответ от ehomyakov

  • ehomyakov
  • Посетитель
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Я разобрался в чем проблема с 10.11.

1. Что-то не так с библиотекой libccid.dylib.1.4.14 в 10.11.4 — она не распознает рутокен. Как временное решение лечится копированием системного ifd-ccid.bundle из /usr в аналогичную локацию в /usr/local и заменой симлинка с версии 1.4.14 на 1.4.21 и перезагрузкой. После этого SecurityServer начинает замечать подключение/отключение токена соответствующими сообщениями в логах.

2. Проблема в RTPKCS11.tokend — он ищет библиотеки только в /usr/lib/pkcs11, но не пытается искать в /usr/local/lib/pkcs11, хотя в 10.11 инсталлер ставит библиотеку именно в /usr/local. Как временное решение можно отключить SIP и скопировать librtpkcs11ecp.dylib в /usr/lib/pkcs11/.

В данный момент у меня ЭЦП микро заработал, в Keychain Access все появилось.

Похоже что у тех кто заявляет что у них работает на 10.11, оно работает потому, что они сначала поставили драйвера на 10.10 (в /usr) и только затем проапгрейдили систему до 10.11. А у всех кто ставит на чистую 10.11 оно соответственно не работает, потому что не должно.

Ну и если позволите, замечания:

3. Ваши бинарники и инсталлеры не подписаны цифровой подписью. Подпишите.

4. Зачем нужен `/usr/local/lib/librtpkcs11ecp.dylib`? Никто эту либу в той локации не ищет.

5. Зачем нужен `/usr/local/lib/librtpkcs11ecp.so`? Похоже мусор после портирования с Linux остался :)

6. Предоставить анинсталлер, вычищающий из системы /Library/Aktiv Co и все симлинки, было бы любезно.

Ответ от Vermin (2016-05-31 12:01:27 отредактировано Vermin)

  • Vermin
  • Посетитель
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Извиняемся за задержку с ответом.

1. В чистой 10.11.5 такой проблемы уже нет, симлинк идет на 1.4.21
2. В новой версии будет исправлено.
3. Пока подпись бинарников не планируется.
4. Библиотека находится в данной директории из соображений совместимости.
5. Это сделано также в целях совместимости :) Это не линуксовая библиотека, а симлинк на библиотеку OS X.
6. Да, в будущем предполагается его создание.

Скоро выйдет новый модуль поддержки 1.4.0.0, в нем будет исправлена работа в последних версиях OS X.
Пока можно использовать указанную выше версию 1.2.9.0:
https://download.rutoken.ru/Rutoken/PKC … taller.pkg

Ответ от xlab2

  • xlab2
  • Посетитель
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Проблема такая же (*версия ОС: 10.11.6): Рутокен постоянно мигает, в Keychain не видно.
opensc-tool

opensc-tool -l
# Detected readers (pcsc)
Nr.  Card  Features  Name
0    Yes             Aktiv Co. Rutoken S

pcsctest - проходит успешно:

pcsctest

MUSCLE PC/SC Lite Test Program

Testing SCardEstablishContext    : Command successful.
Testing SCardGetStatusChange 
Please insert a working reader   : Command successful.
Testing SCardListReaders         : Command successful.
Reader 01: Aktiv Co. Rutoken S
Enter the reader number          : 1
Waiting for card insertion         
                                 : Command successful.
Testing SCardConnect             : Command successful.
Testing SCardStatus              : Command successful.
Current Reader Name              : Aktiv Co. Rutoken S
Current Reader State             : 0x54
Current Reader Protocol          : 0x0
Current Reader ATR Size          : 19 (0x13)
Current Reader ATR Value         : 3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00 
Testing SCardDisconnect          : Command successful.
Testing SCardReleaseContext      : Command successful.
Testing SCardEstablishContext    : Command successful.
Testing SCardGetStatusChange 
Please insert a working reader   : Command successful.
Testing SCardListReaders         : Command successful.
Reader 01: Aktiv Co. Rutoken S
Enter the reader number          : 1
Waiting for card insertion         
                                 : Command successful.
Testing SCardConnect             : Command successful.
Testing SCardStatus              : Command successful.
Current Reader Name              : Aktiv Co. Rutoken S
Current Reader State             : 0x54
Current Reader Protocol          : 0x0
Current Reader ATR Size          : 19 (0x13)
Current Reader ATR Value         : 3B 6F 00 FF 00 56 72 75 54 6F 6B 6E 73 30 20 00 00 90 00 
Testing SCardDisconnect          : Command successful.
Testing SCardReleaseContext      : Command successful.

PC/SC Test Completed Successfully !

pkcs11-tool --module /Library/Aktiv\ Co/Rutoken\ ECP/lib/librtpkcs11ecp.dylib -L

Available slots:
Slot 0 (0x0): Aktiv Co. Rutoken S
  (empty)
Slot 1 (0x1): 
  (empty)
Slot 2 (0x2): 
  (empty)
Slot 3 (0x3): 
  (empty)
Slot 4 (0x4): 
  (empty)
Slot 5 (0x5): 
  (empty)
Slot 6 (0x6): 
  (empty)
Slot 7 (0x7): 
  (empty)
Slot 8 (0x8): 
  (empty)
Slot 9 (0x9): 
  (empty)
Slot 10 (0xa): 
  (empty)
Slot 11 (0xb): 
  (empty)
Slot 12 (0xc): 
  (empty)
Slot 13 (0xd): 
  (empty)
Slot 14 (0xe): 
  (empty)

Драйвера ставил последние, крипто-про ставил разные сейчас 4.0

Рекомендации

ehomyakov пишет:

Я разобрался в чем проблема с 10.11.
1. Что-то не так с библиотекой libccid.dylib.1.4.14 в 10.11.4 — она не распознает рутокен. Как временное решение лечится копированием системного ifd-ccid.bundle из /usr в аналогичную локацию в /usr/local и заменой симлинка с версии 1.4.14 на 1.4.21 и перезагрузкой. После этого SecurityServer начинает замечать подключение/отключение токена соответствующими сообщениями в логах...

пытался выполнить, однако

1. ifd-ccid.bundle отсутствует в /usr;
2. Папка /usr/lib/pkcs11 отсутствует;

Подскажите что надо сделать чтоб Рутокен заработал.

Ответ от Антон Тихиенко

  • Антон Тихиенко
  • Администратор
  • Неактивен

Re: Рутокен ЭЦП + mac os x 10.11

Здравстуйте.

xlab2 пишет:

opensc-tool -l
# Detected readers (pcsc)
Nr.  Card  Features  Name
0    Yes             Aktiv Co. Rutoken S

Электронный идентификатор Рутокен S и не должен отображаться в связке ключей, это нормально. Отображаться будут идентификаторы Рутокен ЭЦП, Рутокен Lite, однако на работу идентификатора Рутокен S с "КриптоПро CSP" это отрицательно не влияет, если только система (например, какой либо портал), где нужно работать с Рутокен S и "КриптоПро CSP", поддерживает Mac OS (не мало таких систем часто требуют работать только через браузер Internet Explorer и никакой другой).